Pada 20 April, protokol terdesentralisasi Kelp DAO menjadi korban dari serangan hacker besar-besaran, dengan kerugian yang melebihi 300 juta dolar. Dalam jam-jam pertama setelah insiden, sudah jelas bahwa ini adalah salah satu perampokan terbesar di sektor DeFi dalam beberapa tahun terakhir. Dalam artikel ini, kami akan menganalisis apa yang diketahui sampai saat ini dan secara rinci membahas perkembangan penyelidikan selama 18 hari pertama setelah peretasan.
Jika dalam beberapa jam pertama setelah insiden gambaran kejadian bersifat fragmentaris, maka dalam sepuluh hari berikutnya penyelidikan telah memperlihatkan sejumlah rincian teknis dan fakta yang signifikan.
Serangan 1
Fase 1
Serangan awal
Berlangsung selama satu menit.
Titik masuk dipilih sebagai jembatan lintas-rantai rsETH berdasarkan infrastruktur LayerZero. Pelanggaran terjadi karena kompromi infrastruktur node RPC. Ini memanfaatkan kesalahan arsitektur. Infeksi seluruh sistem dimulai dari satu pengidentifikasi yang terkompromi.
Fase 2
Area kejadian utama
Setelah pelanggaran sistem, para penjahat menggunakan skema licik: mereka mengirimkan pesan palsu tentang "pembekuan" dana yang berhasil.
Bagi mereka yang tidak mengenal arsitektur DeFi, dalam konteks ini "pembekuan" tidak berfungsi sebagai pembekuan akun, tetapi sebagai konfirmasi kontribusi. Dalam keadaan normal, prosesnya berlangsung seperti ini:
Tahap 1
Anda menyetor aset (misalnya, $100). Sistem mencatat penerimaan dana dan "membekukan" mereka di penyimpanannya sebagai jaminan.
Tahap 2
Hanya setelah tahap pertama berhasil, proses otomatis untuk penerbitan token baru dimulai, yang diperoleh pengguna.
Logika ini digunakan oleh para hacker. Mereka memaksa sistem untuk percaya bahwa tahap pertama telah berhasil, meskipun aset nyata tidak pernah dimasukkan. Menganggap pesan palsu sebagai yang sah, protokol secara keliru menerbitkan 116.500 rsETH tanpa jaminan nyata. Berkat integrasi dengan teknologi LayerZero, penjahat ini dapat segera menyebarkan dampak ini ke beberapa blockchain. Ini memungkinkan mereka untuk menarik dana dari lebih dari 20 jaringan, termasuk Arbitrum, Base, Linea, dan lainnya, mengubah kesalahan satu protokol menjadi kerugian likuiditas skala besar di seluruh ekosistem.
Fase 3
Keluar dan legalisasi
Setelah menerima ribuan token rsETH yang tidak likuid (yang sebenarnya tidak memiliki jaminan nyata), para hacker menggunakannya sebagai jaminan di protokol kredit, termasuk di Aave.
Bagaimana cara kerjanya (dalam istilah sederhana):
Bayangkan sebuah pegadaian biasa. Jika Anda membawa lukisan ke sana, penilai akan memeriksanya dengan cermat secara real-time sebelum memberikan uang. Namun, protokol kredit crypto adalah sistem otomatis yang bekerja dengan algoritma yang telah ditentukan sebelumnya. Para hacker "membawa" karya seni palsu (rsETH yang tidak likuid) ke dalam pegadaian digital tersebut. Karena sistem menganggap token ini sah, ia secara otomatis memberikan likuiditas nyata — Ethereum (WETH) sebagai jaminan. Para penjahat mendapatkan cryptocurrency nyata, meninggalkan protokol dengan "uang kertas" yang tidak ada nilainya. Untuk menyembunyikan jejak, dana yang diterima segera dibagikan di antara ratusan alamat anonim. Ini membuat proses pelacakan dan pengembalian aset menjadi tugas yang sangat sulit bagi para analis.
Tindakan balasan
Administrator Kelp DAO mengaktifkan "penghentian darurat" untuk semua kontrak pintar untuk mencegah penarikan dana lebih lanjut. Serangan ini mempengaruhi setidaknya 9 protokol terkait, tim mulai melakukan sinkronisasi darurat dengan platform DeFi lainnya untuk mengisolasi pool likuiditas yang terpengaruh.
Dalam beberapa menit pertama, tim keamanan siber terhubung, khususnya:
Cyvers:
Salah satu yang pertama mendeteksi aktivitas anomali dan mengonfirmasi fakta pelanggaran
Halborn
Menerbitkan laporan teknis yang rinci yang menjelaskan penyebab pelanggaran — kerentanan dalam konfigurasi verifikator jembatan lintas-rantai.
PeckShield
Mengarahkan tim untuk menganalisis transaksi.
Chainalysis dan Elliptic
Melacak aset yang dicuri.
Setelah langkah-langkah balasan awal, tampaknya cerita ini akan mengikuti jalur logis penyelidikan, komunikasi, dll. Namun, dalam waktu 20 menit, terjadi hal yang dapat membawa perampokan ini ke tingkat kategorisasi konsekuensi yang lebih tinggi.
Serangan 2
Meskipun terdapat kontroversi setelah peristiwa di atas, sistem telah dikompromikan dan para hacker melancarkan serangan ulang.
Titik masuk adalah node RPC yang sama yang terkompromi.
Pada saat itu, kontrak pintar utama sudah dibekukan oleh tim keamanan dan jalan lain dipilih untuk serangan tersebut. Paket data baru dengan konfirmasi palsu tentang "pembakaran" token di salah satu jaringan telah dikirim. Ide utamanya adalah untuk memaksa jembatan mengeluarkan batch baru rsETH yang tidak dijamin di jaringan lain.
Konsep dalam istilah sederhana:
Saat mengirim 100 koin dari satu jaringan ke jaringan lain, beberapa fase dapat diidentifikasi.
Fase 1
Jaringan dari mana koin dikirim mencatat pembakaran kondisional mereka, pada dasarnya membentuk blok data yang berfungsi sebagai kuitansi. Ia secara langsung menyatakan: permintaan telah dibuat untuk transfer sejumlah koin tertentu.
Fase 2
Jika ini adalah jaringan yang terhubung, jaringan lain mulai menerima data berdasarkan algoritma verifikasi yang ditentukan. Jika verifikasi telah berhasil di jaringan lain, penerbitan 100 koin yang sama akan diinisiasi. Para hacker mengirimkan pesan palsu tentang keberhasilan fase 1, yang sebenarnya tidak terjadi. Jika berhasil, akan diperoleh 95 - 105 juta dolar dalam bentuk rsETH.
Tindakan tim keamanan
Selain memfokuskan upaya pada konsekuensi serangan sebelumnya, beberapa tim menjaga "perimeter". Sebagai hasil dari pembagian kekuatan yang berhasil, dewan keamanan Arbitrum memblokir upaya penarikan dana di tingkat kontrak pintar dan serangan tersebut gagal.
Siapa yang ada di balik serangan
Tidak ada tuduhan resmi yang diajukan terhadap individu atau kelompok negara tertentu. Tersangka utama dalam serangan besar terhadap Kelp DAO yang terjadi pada bulan April 2026 adalah kelompok hacker Korea Utara Lazarus Group (khususnya unitnya TraderTraitor). Laporan awal dari LayerZero Labs, serta analisis dari perusahaan Chainalysis, Halborn, dan detektif blockchain ZachXBT, menunjukkan Lazarus Group sebagai pelaksana yang paling mungkin.
Penyelidikan pelanggaran Kelp DAO yang terjadi pada bulan April 2026 menggabungkan tim keamanan siber internasional, penegak hukum, dan kelompok respons cepat blockchain yang khusus. Karena serangan tersebut terkait dengan kelompok Korea Utara Lazarus Group (khususnya subkelompok TraderTraitor), penyelidikan ini memiliki karakter global.
Tim penyelidikan terkemuka
Tim Kelp DAO dan auditor
Bekerja untuk mengatasi kerentanan dan memulihkan data dari log node yang terinfeksi.
LayerZero Labs
Melakukan analisis infrastruktur sendiri (node RPC) yang digunakan sebagai titik masuk.
Dewan Keamanan Arbitrum
Otoritas pengelola jaringan Arbitrum, yang mengoordinasikan pembekuan aset.
AS
Chainalysis
Memberikan laporan rinci yang mengonfirmasi bahwa serangan tersebut ditujukan pada infrastruktur off-chain, bukan pada kontrak pintar.
TRM Labs
Mereka aktif melacak dompet para penjahat secara real-time.
Cina/Singapura
PeckShield
Membantu melacak rute transfer aset yang dicuri melalui berbagai protokol privasi.
Israel
Cyvers
Salah satu yang pertama mendeteksi pelanggaran dan memberikan analisis teknis tentang bagaimana para hacker mencuci dana melalui THORChain dan BitTorrent.
Korea Selatan
Bekerja sama secara aktif melalui intelijen tentang aktivitas peretas Korea Utara.
Komunitas internasional
Tim respons cepat dan keamanan SEAL. Bergabung dengan penyelidikan awal dan membantu meminimalkan kerugian lebih lanjut.
Kompensasi
Sumber dana untuk kompensasi:
Dana yang dibekukan ($71 juta)
Ini adalah aset yang sama di Arbitrum yang diblokir oleh Dewan Keamanan jaringan. Mereka dikembalikan ke Kelp DAO melalui pemungutan suara khusus.
Dana kas treasury milik sendiri
Tim Kelp menggunakan komisi yang terkumpul dan sebagian dari cadangan mereka untuk menutupi.
Penjualan token KELP
Dilakukan putaran pendanaan darurat melalui penjualan token proyek kepada dana ventura dengan diskon besar, untuk segera mendapatkan likuiditas.
Rencana pemulihan
Prioritas untuk investor ritel
Pengguna biasa yang memegang jumlah kecil di rsETH adalah yang pertama mendapatkan akses untuk menarik dana.
"Surat utang" teknis
Bagi mereka yang tidak ingin menunggu 6 bulan untuk pengembalian penuh, Kelp menerbitkan token khusus kLoss. Token ini mewakili hak atas bagian masa depan dari keuntungan protokol. Pengguna dapat memilih untuk menyimpannya sampai pembayaran penuh, atau menjualnya di pasar sekunder kepada mereka yang bersedia menunggu.
Peran LayerZero
Karena pelanggaran terjadi melalui infrastruktur LayerZero, perusahaan pengembang (LayerZero Labs) memberikan hibah sebesar $10 juta sebagai tindakan goodwill untuk mendukung pengguna yang terkena dampak, meskipun secara hukum mereka tidak mengakui kesalahan penuh mereka.
Pada 6 April, tim Kelp DAO secara resmi mengumumkan penolakan untuk terus menggunakan sistem LayerZero dan beralih ke infrastruktur Chainlink.
Status hingga saat ini
Sebagian besar pengguna (lebih dari 98%) telah sepenuhnya memulihkan posisi mereka. Namun, investor institusional besar masih dalam proses menerima tranche terakhir sesuai jadwal pembukaan blokir.
Kesimpulan
Pelanggaran Kelp DAO secara resmi menjadi salah satu perampokan terbesar dalam beberapa tahun terakhir. Namun, penyelidikan menunjukkan bahwa setelah serangan awal, gelombang kedua terjadi. Berkat profesionalisme tim keamanan siber, serangan ulang ini berhasil diredam sepenuhnya, yang mengurangi potensi kerugian sekitar 40%. Meskipun demikian, situasi tetap rumit. Isu perlindungan data menjadi sangat kritis, mengingat pertumbuhan pesat proyek dan prospek transformasi sistem crypto menjadi fondasi keuangan yang lengkap bagi negara-negara.